ウェブサイトやアプリに仮想通貨のマイニング機能を組み込み、所有者の許可なしにデバイスのリソースを利用して仮想通貨をマイニングする動きが増えていることに対し、セキュリティベンダーのTrend Microが警笛を鳴らしている。
TrendMicroは「Google Play」に、2種類の「Android」向けマイニングアプリがあることを発見した。まず「Recitiamo Santo Rosario Free」と「SafetyNet Wireless App」という2つのアプリは、ブラウザ内で仮想通貨のMoneroをマイニングするJavaScriptプログラム「Coinhive」を利用するもの。一方、Car Wallpaper HD: mercedes, ferrari, bow and audi」というアプリは、「cpuminer」のライブラリの不正なバージョンを含むものだ。
Googleはマイニング機能が隠れて搭載されていたことを受け、これらのアプリケーションを削除した。
JavaScriptによるマイニングはアプリ内に組み込まれたブラウザで動くが、ユーザーにはマイニングが動いていることを知らせない。スマートフォンのCPU使用率は、このJavaScriptコードが動いている場合「極めて高くなる」とTrend Microは記している。
Trend Microの研究者らによると、モバイルデバイスを利用することで攻撃者が得る利益は大したことはない一方で、マルウェアはデバイスの性能を低下させるため悪影響を及ぼし、バッテリ持続時間も減少するという。
Coinhiveは、広告でウェブサイトをマネタイズする代替として、マイニングサービスを提供する。だがTrend Micro、それにMalwarebytesやSucuriなどのセキュリティ企業は、感染したウェブサイトにCoinhiveのマイニングを組み込み、PCのCPU性能を借りるという攻撃が増加していることを指摘している。一部のウェブサイトは、広告を表示しつつも静かにマイニングも走らせているという。
The Pirate BayもCoinhiveのマイニングを組み込んでいた。だが同サイトの場合は、広告が広告ブロッカーに遮断される状況を受け、開発者が意図的にMoneroのマイニングで広告を置き換える可能性を探っていたためだ。
重要な問題は、Coinhiveでは、訪問者の許可なしにサイトの所有者がマイニングを走らせることが可能である点だ。そしてこれが理由でMalwarebytesはCoinhive.comのスクリプトをブロックするという決断を下している。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
住環境に求められる「安心、安全、快適」
を可視化するための“ものさし”とは?
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」